Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 1669/2019 de 20 de Septiembre de 2021

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0001669/2019

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:11919/2019

Demandante:XFERA MOVILES, S.A.U.

Procurador:LUCÍA AGULLA LANZA

Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IIma. Sra.:Dª. FELISA ATIENZA RODRIGUEZ

S E N T E N C I A Nº :

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a veinte de septiembre de dos mil veintiuno.

Vistos los autos del recurso contencioso-administrativo PO 1669/2019 que ante esta Sala de lo Contencioso-Administrativo de la Audiencia Nacional, ha promovido la Procuradora Dª Lucía Agulla Lanza, en nombre y representación de XFERA MÓVILES, S.A.U. frente a la Administración General del Estado, representada por el Abogado del Estado, contra la Resolución de 31 de mayo de 2019 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 8 de abril de 2019, recaída en el procedimiento sancionador PS/00380/2018, por la que se le impone una sanción de 40.001 euros por una infracción del art. 4.3 de la Ley Orgánica 15/1.999, de 13 de diciembre, tipificada como grave en el art. 44.3.c) de dicha norma (que después se describirá en el primer Fundamento de Derecho), siendo Ponente la Ilma. Sra. Magistrado Dña FELISA ATIENZA RODRÍGUEZ.

Antecedentes

PRIMERO.- En fecha 4 de septiembre de 2019, se presentó el presente recurso, del que, una vez admitido y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda.

SEGUNDO.- Formalizada la demanda el 29 de octubre de 2019, se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, el 5 de febrero de 2020, alegando los hechos y fundamentos jurídicos que estimaron pertinentes, solicitando la desestimación del recurso.

TERCERO.- Mediante Auto de 13 de febrero de 2020, se acordó el recibimiento del recurso a prueba, llevándose a cabo las pruebas propuestas por la parte actora declaradas pertinentes.

CUARTO.-Co ncedido el plazo de diez días a las partes para la formulación de conclusiones, y, una vez presentados los correspondientes escritos, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 14 de septiembre del presente año, fecha en que tuvo lugar.

Siendo Ponente la Magistrada Ilma. Sra. Doña M. Felisa Atienza Rodríguez, que expresa el criterio de la Sala.

Fundamentos

PRIMERO.- Se impugna por la representación procesal de XFERA MÓVILES S.A.U. (en adelante SFERA), la resolución de 31 de mayo de 2019 del Director de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 8 de abril de 2019, recaída en el procedimiento sancionador PS/00380/2018, por la que se le impone una sanción de 40.001 euros, por una infracción del art. 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD), en relación con el art. 29.4 y los artículos 38 y 39 del RLOPD, tipificada como grave en el art. 44.3.c) de dicha norma y de conformidad con lo dispuesto en el artículo 45. 4 de la LOPD.

SEGUNDO.-La resolución impugnada se funda en los siguientes Hechos Probados:

'1.- Con fecha 26 de junio de 2018, contestación de EQUIFAX en respuesta al ejercicio del derecho de acceso del denunciante indicando que a fecha 19 de junio de 2018 figura inscrito en el fichero Asnef una deuda relativa a un producto de Telecomunicaciones asociada al denunciante e informada por la entidad denunciada Xfera Móviles, S.A. La fecha de alta de dicha deuda es 23 de febrero de 2018. El importe asociado a la deuda es de 107,35 €.

2.- Justificante del Ingreso en efectivo efectuado por el denunciante en la cuenta de Xfera Móviles del Banco Santander de 13 de marzo de 2018, en concepto de: REF: NUM000 de D. Ruperto, por importe de 107,35€.'

La resolución sancionadora entendió que ' los hechos expuestos suponen la comisión por parte de XFERA MÓVILES, S.A.U. (YOIGO) de una infracción del artículo 4.3 de LOPD, que señala que: 'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.

La obligación establecida en el artículo 4 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.'

La parte actora, funda su pretensión impugnatoria en los siguientes motivos:

1º) No se están tratando datos personales de una persona física, sino que como se acredita a partir del contrato que ligaba a las partes, en realidad vinculaba a una persona jurídica y no a un particular.

2º) La cesión de los datos del denunciante al fichero de información sobre solvencia patrimonial y crédito ASNEF fue realizado, en todo momento, conforme lo exigido por la legislación vigente, concretamente por lo dispuesto por el artículo 29 de la LOPD y los artículos 37 y siguientes del RLOPD.

3º) Subsidiariamente, infracción del artículo 45.4 de la ant. LOPD. Afirma que aunque el interesado abonó la deuda que se le reclamaba, lo hizo sin aportar datos identificativos que les permitieran imputar el ingreso efectuado.

4º) Subsidiariamente, infracción del art. 45.5 de la LOPD. Considera que cabe aplicar los supuestos a) y b) del citado precepto, por cuanto actuó de forma diligente y debe apreciarse una cualificada disminución de la culpabilidad

5º) Aplicación del principio de proporcionalidad, por lo que procedería imponer la sanción en su cuantía mínima.

El Abogado del Estado se opone al recurso y propugna la conformidad a derecho de la resolución impugnada.

TERCERO.-Se aduce por la recurrente como primer motivo de impugnación que el contrato que le vinculaba con el denunciante era en relación a una persona jurídica y no un particular, por lo que no resulta de aplicación la LOPD. En apoyo de esta alegación presenta el encabezamiento del contrato, en el que figuran los términos CONTRATO DE RENUEVO y AUTÓNOMOS. Invoca el art. 3 a) de la LOPD y el 5 e) del Reglamento, RD 1720/2007 y transcribe sentencias de esta Sala, que, a su juicio contemplan una situación idéntica al presente supuesto.

La Sala no puede compartir este criterio, pues, con independencia de que, en efecto el art. 3.2 de la LOPD, excluya del régimen protector de la ley, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, lo cierto es que, es necesario probar que el contratante actuaba como una persona jurídica, siguiendo el criterio de las mismas sentencias citadas por la actora, " El hecho de que los datos personales objeto de tratamiento consistan en el nombre y apellidos y el D.N.I. del denunciante no conlleva necesariamente que no se encuentren excluidos del ámbito de protección de la LOPD, especialmente cuando aquel opera en el tráfico mercantil como comerciante individual con tales datos, sino que se hace necesario diferenciar cuando se refieren al mismo como persona física sin más y, por ende, se refieren a su vida privada, y cuando al mismo en su condición de comerciante, pues solo en el segundo caso deben excluirse del ámbito de aplicación de la protección de la LOPD'.

La reciente STS de 13 de marzo de 2019 (Rec. 838/2016 ):

'La jurisprudencia de esta Sala ha venido sosteniendo que sólo las personas físicas se consideran titulares de los derechos a que se refiere el artículo 18.4 de la Constitución .

También la Sala Primera del Tribunal Supremo ha reconocido que la Ley Orgánica 15/1999 está encaminada de modo primordial a la protección de los derechos fundamentales de las personas físicas y, en particular, de su honor e intimidad personal y familiar en todo lo relacionado con la utilización de datos de carácter personal registrados en soporte físico susceptibles de tratamiento ( STS de 9 de abril de 2012 -recurso de casación núm. 59/2010 ).

Es más, incluso en los datos de las personas físicas es necesario diferenciar cuando se refieren al mismo como persona física y, por ende, se refieren a su actividad privada, de aquellos otros en los que una persona física actúa en su condición de comerciante, y los datos eran ajenos a su esfera privada y ostentaban una clara vinculación con la actividad mercantil desarrollada, pues en este caso deben excluirse del ámbito de aplicación de la protección de la LOPD ( STS nº 1407/2018, de 20 de septiembre de 2018 (rec. 2828/2016 )'.

Aplicando los anteriores criterios al presente caso y en orden a dilucidar si los datos de carácter personal del denunciante, relativos a la contratación de los servicios telefónicos en cuestión, se encuentran vinculados a su esfera personal o a una actividad comercial o empresarial, tenemos que poner de relieve lo siguiente..."

Y en el supuesto que se enjuicia, salvo el encabezamiento del contrato en que se dice que es Autónomo, no existe el menor indicio de que el denunciante ejerciera una profesión de comerciante o industrial, como exige la ley, pudiendo desempeñar cualquier otra profesión liberal, no excluida del ámbito de la ley. El denunciante aparece con su NIF de persona física y nada indica lo contrario. En todo caso, como apunta el representante del Estado, al tratarse de una excepción, ello exige una interpretación restrictiva, y un principio de prueba suficiente.

Por consiguiente, al no resultar acreditado tal condición, procede rechazar este primer motivo de impugnación.

CUARTO.-El art. 44.3.c) de la LOPD aplicado por la resolución recurrida, tipifica como infracción grave: 'Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.

Y el art. 4.3 de la LOPD establece, dentro del principio de calidad de datos, la exigencia de la exactitud y veracidad de los datos: 'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.

Precepto que hay que conectar en el caso de autos, con el art. 29 de la citada Ley, que regula de forma específica la prestación de servicios de información sobre solvencia patrimonial y crédito, distinguiendo dos supuestos, uno de los cuales es el relativo a los ficheros de solvencia patrimonial en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, que se regulan en el apartado 2. Y el apartado 4 de dicho artículo dispone que solo se podrá registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual.

Estos ficheros se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD (entre ellos el del consentimiento del afectado en el tratamiento y cesión de sus datos de carácter personal). No obstante, frente a esta excepción, la propia norma articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias) y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.

Por otra parte, el art. 38 del Real Decreto 1.720/2007, de 21 de diciembre (en lo sucesivo RDLOP) fija los 'requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la Sentencia del Tribunal Supremo de 15 de julio 2010 -recurso nº. 23/2008- que anula entre otros apartados, por disconformes a derecho, el último inciso del art. 38.1.a) y el apartado 2 del citado art. 38 del RDLOPD.

La redacción del art. 38 del RDLOPD, tras la aplicación de la citada Sentencia de 15 de julio de 2010, es la siguiente:

'1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente'.

Y el art. 39 del citado RLOPD, a su vez, dispone: 'El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'.

Quiere decir que, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta, que responda con veracidad a la situación actual y que haya sido previamente requerida de pago.

QUINTO.-En el caso que nos ocupa, se sanciona a la parte actora por haber incluido una deuda del denunciante en el fichero de morosos desde el 23 de febrero de 2018 y hasta el 19 de junio de 2018, pese a existir constancia del abono de la deuda el 13 de marzo de 2018.

La recurrente reconoce la existencia del pago, pero alega que el denunciante en el momento del ingreso de la deuda, no incluyó suficientes datos identificativos que le permitieran asociar dicho ingreso a la concreta deuda, por lo que se produjo una dilación temporal hasta que identificaron la conexión, sosteniendo que cuando incluyeron la deuda en el fichero, se cumplían los requisitos legalmente exigidos.

Pues bien, no se discute el hecho de que se hubiera incluido la deuda inicialmente cuando esta era cierta, sino que lo que se sanciona es haber mantenido indebidamente los datos personales del denunciante en sus propios ficheros y comunicárselo al fichero ASNEF, después de que hubiera sido abonada por el denunciante y sin que las razones aludidas por la actora puedan ser acogidas, por cuanto desde el 13 de marzo de 2018 y hasta el 19 de junio de 2019, transcurrieron más de tres meses, tiempo más que suficiente para poder identificar el ingreso, por lo que se debe concluir que la recurrente es responsable de la infracción del principio de calidad del dato recogida en el art. 4.3 de la LOPD.

Debemos añadir, que una vez comprobado por la Agencia la existencia de la inscripción de una deuda en un registro solvencia patrimonial, corresponde al que utiliza tal medio acreditar la concurrencia de los requisitos anteriormente mencionados. Como ya dijimos en nuestra Sentencia de 20 de abril de 2006 '... aquel que utiliza un medio extraordinario de cobro como es el de la anotación de la deuda en un registro de morosos, debe garantizar el cumplimiento de todos los requisitos materiales (exactitud el dato) y formales (requerimiento previo) que permitan el empleo de este modo accesorio para conseguir el cobro de la deuda. No aplicar esta exigencia supondría, por lo contrario, utilizar este medio de presión al recurrente sin el suficiente aseguramiento de las mínimas garantías para los titulares de los datos que son anotados en los registros de morosos'.

Por tanto, el incumplimiento de dichos requisitos, determina la imputación del tratamiento de datos con infracción del principio de calidad mencionada, cuya culpabilidad en la comisión de la infracción por cuya autoría ha sido sancionada, deriva de su intervención en los hechos denunciados, resultando evidente la tipicidad de la conducta sancionada.

SEXTO-Seguidamente, se invoca por la parte actora la existencia de una cualificada disminución de la culpa, añadiendo que actuó de forma diligente para la regularización de la situación, ninguna de cuyas circunstancias es de apreciar por la Sala por las razones ya expuestas, habida cuenta de que dejó pasar más de tres meses antes de retirar los datos del denunciante del fichero, conducta que no puede considerarse diligente.

En cuanto a la proporcionalidad de la sanción, esta Sala tiene establecido en multitud de sentencias, que dicho precepto, que no es sino una manifestación del llamado principio de proporcionalidad ( art. 131.1 de la Ley 30/1992, de 26 de noviembre), incluido en el más general de prohibición de exceso, y reconocido por la Jurisprudencia como Principio General del Derecho, debe aplicarse con exquisita ponderación, y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto.

El criterio, por tanto, debe ser de aplicación restrictiva e individualizada, en atención a las circunstancias concretas que resulten de cada caso, y tomando en consideración, que debe exigirse a los recurrentes que acrediten circunstancias de las que resulte una disminución de la culpabilidad ó de la antijuridicidad, por lo que no es posible establecer criterios generales para la aplicación del citado art. 45.5 de la LOPD.

La Sala comparte, los razonamientos efectuados por la Agencia de Protección de Datos, en relación a la aplicación del artículo 45, en cuanto a la graduación de la sanción, que se considera respetuosa con el principio de proporcionalidad, teniendo en cuenta que la cuantía impuesta se corrresponde con el mínimo para las infracciones graves, que es 40.001 euros, por lo que resulta justificada y proporcionada.

En consecuencia, procede desestimar íntegramente el presente recurso contencioso-administrativo.

SÉPTIMO. -A tenor del artículo 139.1 de la Ley de la Jurisdicción procede hacer expresa imposición de las costas procesales a la parte actora.

En atención a lo expuesto, y en nombre de Su Majestad El Rey, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, ha decidido:

Fallo

DESESTIMAR el recurso contencioso-administrativo interpuesto por la Procuradora de los Tribunales Dª Lucía Agulla Lanza, en nombre y representación de XFERA MÓVILES S.A.U., contra la resolución de 31 de mayo de 2019 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 8 de abril de 2019, recaída en el procedimiento sancionador PS/00380/2018, por la que se le impone una sanción de 40.001 euros por una infracción del art. 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, tipificada como grave en el art. 44.3.c) de dicha norma, y, DECLARAR que las citadas resoluciones son conformes a derecho.

Con expresa imposición de las costas procesales a la parte actora.

La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.

Madrid a

EL LETRADO DE LA ADMINISTRACIÓN DE JUSTICIA